Compliance und Risiko
DSGVO-Strafe in Millionenhöhe
British Airways muss im Rahmen der DSGVO 183 Millionen Pfund Strafe im Zusammenhang mit einem im September 2018 bekannt gewordenen Datenverlust zahlen. Überraschend ist dabei vor allem die Höhe der Summe.
Save to Folio
Wie die britische BBC berichtet, wurde die Fluglinie British Airways im Rahmen der DSGVO (GDPR) zu 183 Millionen Pfund (ca. 204 Millionen €) Strafe im Zusammenhang mit dem im September 2018 bekannt gewordenem Datenverlust verklagt. Überraschend ist dabei vor allem die Höhe der Summe, zumal BA mit den Behörden zusammenarbeitete, um Schäden für die betroffenen Nutzer möglichst gering zu halten.
Bei Datenverlusten in der Qualität und Quantität des hier zugrunde liegenden Falles ist es nicht verwunderlich, dass Behörden, speziell die Datenschutzbehörden, genauer hinsehen (müssen), um zu beurteilen, ob und wenn ja, wen man zur Verantwortung ziehen muss. Eines ist klar: Die BA hat die betroffenen Daten, zu denen auch Kreditkarteninformationen gehörten, sicherlich nicht freiwillig abgegeben oder weiterverkauft. Sie waren im allgemeinem Sprachgebrauch einem „Datendiebstahl“ ausgesetzt. Die Airline ist also eigentlich Opfer. Warum soll nun also ein „Opfer“ auch noch Strafe in dreistelliger Millionenhöhe zahlen?
Um das zu beantworten, muss zunächst die Begrifflichkeit aus Datenschutzsicht geklärt werden. Opfer sind demzufolge vor allem diejenigen, deren Daten gestohlen wurden. Diese Opfer hatten ihre Daten bewusst, vom rechtlichen Standpunkt einwandfrei bei BA abgelegt und damit der Sorgfalt der Airline übergeben. Gerade weil aber personenbezogene Daten im Zeitalter der Informationstechnologie einen enorm hohen Wert haben, werden sie als das „Gold“ des Internets bezeichnet. Damit wird das Verwahren dieser Daten zu einer Pflichtaufgabe, die Datenschutzgrundverordnung (DSGVO) zu ihrem Wächter und der Verwahrer der Daten zu dem, der verantwortlich für deren Verbleib ist.
Es bleiben zwei Fragen übrig:
- Hat der Verantwortliche alles in seiner Macht stehende getan, um die Daten zu schützen? Die DSGVO spricht hier von Schutz nach „Stand der Technik“ und von Verhältnismäßigkeit.
- Hat sich der Verantwortliche rechtzeitig (innerhalb von 72 Stunden) an die Behörden gewandt, um weitere Maßnahmen durchzuführen, wie beispielsweise die Benachrichtigung der Betroffenen?
Jeder der beiden Punkte kann bei Missachtung zu einem hohen Strafmaß in einer Gesamtsumme von maximal 4% gemessen am weltweiten Umsatz des Vorjahres führen. Die Höhe obliegt dabei dem Ermessen der Behörde.
Würden die Datenschützer im Fall British Airways beide Punkte als wesentlich verletzt einschätzen, läge die Höchststrafe von 4% gemäß des Jahresumsatzes von 2017 bei etwa 490 Millionen Pfund (546 Millionen €). Die derzeit angesetzte Strafe liegt wesentlich darunter (bei etwa 1,5% des Jahresumsatzes). Ein Beweis dafür, dass die Datenschützer die Schuld der BA wesentlich geringer ansehen, als es die Höhe der Strafe vermuten lässt. Die nächsten Monate werden zeigen, ob sich British Airways damit abfindet oder rechtliche Schritte einleiten wird, um eine weitere Strafmilderung zu erreichen.
Was bedeutet diese Meldung für andere?
Längst ist die DSGVO zu einem Unwort geworden, dass viele negative Gefühle hervor ruft. Und so wird auch diese Meldung zunächst für Unwohlsein und ein Gefühl der Bedrängnis sorgen. Wird nun jeder bei einem Malware-Vorfall so drastisch abgestraft? Die Antwort ist leider ein unspezifisches… „Es kommt darauf an“. Ein solches Urteil auch in dieser Höhe war überfällig und ist ein deutlicher Indikator dafür, was der Gesetzgeber mit der DSGVO eigentlich erreichen will: Firmen sollen verstehen, dass sie eine Verantwortung für personenbezogene Daten tragen und diese schützen müssen. Denn für Konsumenten, deren Daten beim „Datendiebstahl verloren“ gehen, kann die Situation durchaus bedrohlich werden. Deshalb müssen Unternehmen, je mehr sensible Daten angehäuft werden, auch größere Sorgfalt bei deren Schutz walten lassen — ein Grundsatz, den die DSGVO in verschiedenen Paragraphen auch genauso ausdrückt. Einen genaueren Überblick über die Regelungen der DSGVO erhalten Sie in der Neuauflage unseres juristischen Leitfadens.
Hat die BA die Daten also nicht richtig gesichert? Diese Frage lässt sich wohl erst bei Abschluss des Verfahrens beantworten. Klar ist aber, die Aussage vieler Firmen in den letzten Jahren: „Das kann ja jedem passieren…“ gilt nicht mehr. Jeder Fall wird einzeln betrachtet. Der Staat kommt damit seiner Verantwortung für den Schutz der Belange seiner Bürger nach.
Was bedeutet es für Unternehmen?
Unternehmen und Behörden haben bereits viel in IT-Sicherheit investiert und sind trotzdem durch solche Urteile verunsichert, ob dies ausreichend ist. Die DSGVO spricht dabei von „Verhältnismäßigkeit“ und „Stand der Technik“. Beides sind Begriffe, die beliebig dehnbar sind. Natürlich haben auch kleine Firmen personenbezogene Daten, und natürlich müssen diese geschützt werden. Aber wie lässt sich das richtige Maß bestimmen? Denn es stehen keine Budgets in beliebiger Höhe zur Verfügung, vom dafür benötigten Personal ganz zu schweigen.
Wichtig ist es, IT-Sicherheit nicht als einen Zustand zu sehen, den man erreichen kann. Sie ist ein Prozess, der ständige Aktualisierung erfordert. Dies kann über Technik und/oder Prozesse erfolgen. Die folgenden drei Überlegungen sollten bei der Erstellung eines grundsätzlichen Sicherheitskonzeptes eine Rolle spielen:
- Wie schütze ich die Systeme?
- Wie erkenne ich es, wenn der Schutz einmal nicht funktioniert hat?
- Was tue ich, wenn ich erkannt habe, dass der Schutz nicht funktioniert hat?
Punkt 1 ist der Bereich, in dem Unternehmen bislang die meisten Investitionen getätigt haben in der Hoffnung 2 und 3 niemals zu brauchen. Leider ist es technische Realität, dass dies auch voraussetzt, die Systeme praktisch ständig zu aktualisieren. Je größer ein Unternehmen wird, desto schwieriger gestaltet sich dieser Punkt. Allein die Koordination verschiedener Schutzsysteme kann dazu führen, dass Lücken entstehen, durch die Angreifer doch hindurch schlüpfen. Umso wichtiger ist es, dies schnellstmöglich zu erkennen (2) und dann entsprechende Gegenmaßnahmen einzuleiten (3). Ein Zusammenspiel zwischen Technik und Prozessen erleichtert dieses Vorgehen und ermöglicht schnelle, effiziente Reaktionen, um mit solchen Problemen umzugehen.